Datatilsynet giver skarp kritik af kommune efter FTP-brøler: Det er tredje gang på fire år
Det er et klokkeklart brud på persondataloven, at Kalundborg Kommune har gemt store mængder følsomme persondata på en usikret FTP-server.
Det konstaterer Datatilsynet i en afgørelse.
Myndigheden kalder det meget kritisabelt, at mere end 7.000 CPR-nummer og mere end 72 tilfælde af følsomme oplysninger har været opbevaret på en FTP-server, hvor de har været tilgængelige for uvedkommende.
Kalundborg Kommunes ulovlige omgang med data blev afsløret i november, da en journalist fra Børsen blev tildelt direkte adgang til serveren, hvor persondata lå ukrypteret.
Fadæsen fik Kalundborg til at haste-nulstille samtlige administratorkodeord i kommunen, viste en aktindsigt, som Version2 fik i januar.
Kalundborg Kommune har desuden fastholdt, at FTP-serveren var sikret.
Men den påstand er Datatilsynet ikke enig i. Tilsynet lægger vægt på, at »der er benyttet en usikret FTP-server, at denne var eksponeret mod et af kommunen ikke kontrolleret netværk (i.e. internettet), at der har været tildelt og benyttet delte brugernavne og kendeord,« samt at adgangen til data ikke har været segmenteret på nogen måde.
Dermed har kommunen forsømt at leve op til de forpligtelser, en dataansvarlig har i persondataloven. Loven kræver nemlig blandt andet, at man træffer de »fornødne tekniske og organisatoriske sikkerhedsforanstaltninger« så data ikke mistes eller falder i forkerte hænder.
Skærpende omstændigheder
Det er ikke første gang, at Datatilsynet giver Kalundborg Kommune besked på at leve op til persondataloven.
I to tidligere afgørelser har tilsynet kaldt det både beklageligt og meget beklageligt, at kommunen ikke beskytter borgernes data godt nok. I begge tilfælde har kommunen lovet forbedringer - blandt andet i form af nye, reviderede sikkerhedsregler for, hvordan man håndterer følsomme oplysninger.
»Trods de gennemførte tiltag kan Datatilsynet konstatere, at der endnu en gang inden for et kortere tidsrum, er offentliggjort fortrolige personoplysninger fra kommunens side,« konstatere tilsynet i afgørelsen, der fortsætter:
»Set i lyset af det anførte om risikoprofilen for den valgte tekniske løsning og idet Kalundborg Kommune trods tidligere udtalelser om at sikre de fornødne organisatoriske sikkerhedsforanstaltninger, igen står med en sikkerhedsbrudsag finder Datatilsynet at der er tale om en sag med skærpende omstændigheder.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
